O que é um ponto final privado?

Um ponto final privado é uma interface de rede que utiliza um endereço IP privado a partir da sua rede virtual. Esta interface de rede liga-o de forma privada e segura a um serviço alimentado por Azure Private Link. Ao ativar um ponto final privado, está a trazer o serviço para a sua rede virtual.

O serviço pode ser um serviço Azure, como:

  • Storage do Azure
  • Azure Cosmos DB
  • Base de Dados SQL do Azure
  • O seu próprio serviço, utilizando Private Link serviço.

Propriedades de ponto final privado

Um ponto final privado especifica as seguintes propriedades:

Propriedade Descrição
Nome Um nome único dentro do grupo de recursos.
Sub-rede A sub-rede para implantar, onde o endereço IP privado é atribuído. Para obter os requisitos da sub-rede, consulte a secção Limitações mais tarde neste artigo.
Recurso de ligação privada O recurso de ligação privada para ligar utilizando um ID ou pseudónimo de recurso, a partir da lista de tipos disponíveis. Um identificador de rede único é gerado para todo o tráfego que é enviado para este recurso.
Subresource-alvo O subresource para ligar. Cada tipo de recurso de ligação privada tem várias opções para selecionar com base na preferência.
Método de aprovação de conexão Automático ou manual. Dependendo das permissões de controlo de acesso baseado em funções (RBAC) baseadas em funções Azure, o seu ponto final privado pode ser aprovado automaticamente. Se estiver a ligar-se a um recurso de ligação privada sem permissões Azure RBAC, utilize o método manual para permitir ao proprietário do recurso aprovar a ligação.
Mensagem de pedido Pode especificar uma mensagem para que as ligações solicitadas sejam aprovadas manualmente. Esta mensagem pode ser usada para identificar um pedido específico.
Estado da ligação Uma propriedade só de leitura que especifica se o ponto final privado está ativo. Apenas os pontos finais privados num estado aprovado podem ser utilizados para o envio de tráfego. Estados disponíveis adicionais:
  • Aprovado: A ligação foi aprovada automaticamente ou manualmente e está pronta para ser utilizada.
  • Pendente: A ligação foi criada manualmente e está pendente de aprovação pelo proprietário de recurso de ligação privada.
  • Rejeitado: A ligação foi rejeitada pelo proprietário de recursos de ligação privada.
  • Desligado: A ligação foi removida pelo proprietário do recurso de ligação privada. O ponto final privado torna-se informativo e deve ser eliminado para limpeza.
  • Enquanto está a criar pontos finais privados, considere o seguinte:

    • Os pontos finais privados permitem a conectividade entre os clientes a partir do mesmo:

      • Rede virtual
      • Redes virtuais de olhos regionais
      • Redes virtuais globalmente espreitadas
      • Ambientes no local que utilizam VPN ou Rota Expressa
      • Serviços que são alimentados por Private Link
    • As ligações de rede só podem ser iniciadas por clientes que estejam ligados ao ponto final privado. Os prestadores de serviços não têm uma configuração de encaminhamento para criar ligações aos clientes de serviço. As ligações só podem ser estabelecidas numa única direção.

    • Uma interface de rede apenas de leitura é criada automaticamente para o ciclo de vida do ponto final privado. A interface é atribuída a um endereço IP privado dinâmico a partir da sub-rede que mapeia para o recurso de ligação privada. O valor do endereço IP privado permanece inalterado durante todo o ciclo de vida do ponto final privado.

    • O ponto final privado deve ser implantado na mesma região e a subscrição da rede virtual.

    • O recurso de ligação privada pode ser implantado numa região diferente da da rede virtual e do ponto final privado.

    • Vários pontos finais privados podem ser criados com o mesmo recurso de ligação privada. Para uma única rede utilizando uma configuração comum do servidor DNS, a prática recomendada é utilizar um único ponto final privado para um recurso de ligação privada especificado. Utilize esta prática para evitar entradas duplicadas ou conflitos na resolução DNS.

    • Vários pontos finais privados podem ser criados nas mesmas sub-redes ou diferentes dentro da mesma rede virtual. Existem limites para o número de pontos finais privados que pode criar numa subscrição. Para mais informações, consulte os limites do Azure.

    • A subscrição que contém o recurso de ligação privada deve ser registada com o fornecedor de recursos de rede da Microsoft. A subscrição que contém o ponto final privado também deve ser registada com o fornecedor de recursos de rede da Microsoft. Para mais informações, consulte a Azure Resource Providers.

    Um recurso de ligação privada é o alvo de destino de um ponto final privado especificado. A tabela que se segue lista os recursos disponíveis que suportam um ponto final privado:

    Nome de recurso de ligação privada Tipo de recurso Subreufontes
    Configuração da Aplicação Azure Microsoft.Appconfiguration/configurationStores configuraçõesStores
    Automatização do Azure Microsoft.Automation/automation Webhook, DSCAndHybridWorker
    Azure Cosmos DB Microsoft.AzureCosmosDB/databaseSacons SQL, MongoDB, Cassandra, Gremlin, Tabela
    Azure Batch Microsoft.Batch/batchAccounts lotAcount, nodeManagement
    Cache do Azure para Redis Microsoft.Cache/Redis redisCache
    Cache do Azure para Redis Enterprise Microsoft.Cache/redisEnterprise redisEnterprise
    Serviços Cognitivos do Azure Microsoft.CognitiveServices/contas conta
    Managed Disks do Azure Microsoft.Compute/diskAccesses disco gerido
    Registo de Contentores do Azure Microsoft.ContainerRegistry/registries registry
    Azure Kubernetes Service - Kubernetes API Microsoft.ContainerService/managedClusters gestão
    Azure Data Factory Microsoft.DataFactory/fábricas dataFactory
    Azure Data Explorer Microsoft.Kusto/clusters cluster
    Azure Database for MariaDB Microsoft.DBforMariaDB/servidores mariadbServer
    Base de Dados do Azure para MySQL Microsoft.DBforMySQL/servidores mysqlServer
    Base de Dados do Azure para PostgreSQL - Servidor único Microsoft.DBforPostgreSQL/servidores postgresqlServer
    Serviço de fornecimento de dispositivos Azure Microsoft.Devices/ProvisioningServices iotDps
    Hub IoT do Azure Microsoft.Devices/IotHubs IotHub
    Azure IoT Central Microsoft.IoTCentral/IoTApps IoTApps
    Azure Digital Twins Microsoft.DigitalTwins/digitalTwinsInstances API
    Azure Event Grid Microsoft.EventGrid/domínios domínio
    Azure Event Grid Microsoft.EventGrid/tópicos tópico
    Hub de Eventos do Azure Microsoft.EventHub/espaços de nome espaço de nomes
    Azure HDInsight Microsoft.HDInsight/clusters cluster
    AZure API para FHIR (Recursos rápidos de interoperabilidade dos cuidados de saúde) Microsoft.HealthcareApis/serviços fhir
    Azure Key Vault HSM (módulo de segurança de hardware) Microsoft.Keyvault/managedHSMs HSM
    Azure Key Vault Microsoft.KeyVault/vaults cofre
    Azure Machine Learning Microsoft.MachineLearningServices/workspaces espaço amlwork
    Azure Migrate Microsoft.Migrate/assessmentProjects project
    Gateway de Aplicação Microsoft.Network/applicationgateways gateway de aplicação
    Private Link serviço (o seu próprio serviço) Microsoft.Network/privateLinkServices vazio
    Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
    Microsoft Purview Microsoft.Purview/contas conta
    Microsoft Purview Microsoft.Purview/contas portal
    Azure Backup Microsoft.RecoveryServices/cofres cofre
    Reencaminhamento do Azure Microsoft.Relay/namespaces espaço de nomes
    Azure Cognitive Search Microsoft.Search/searchServices searchService
    Service Bus do Azure Microsoft.ServiceBus/namespaces espaço de nomes
    Azure SignalR Service Microsoft.SignalRService/Signalr sinaleiro
    Azure SignalR Service Microsoft.SignalRService/webPubSub webpubsub
    Base de Dados SQL do Azure Microsoft.Sql/servers SQL Server (sqlServer)
    Storage do Azure Microsoft.Storage/storageAcontas Blob (bolha, blob_secondary)
    Tabela (tabela, table_secondary)
    Fila (fila, queue_secondary)
    Arquivo (arquivo, file_secondary)
    Web (web, web_secondary)
    Dfs (dfs, dfs_secondary)
    Azure File Sync Microsoft.StorageSync/storageSyncServices Serviço File Sync
    Azure Synapse Microsoft.Synapse/privateLinkHubs web
    Azure Synapse Analytics Microsoft.Synapse/workspaces Sql, SqlOnDemand, Dev
    Serviço de Aplicações do Azure Microsoft.Web/hostingEnvironments ambiente de hospedagem
    Serviço de Aplicações do Azure Microsoft.Web/sites sites
    Aplicações Web Estáticas do Azure Microsoft.Web/staticSites staticSites
    Serviços de Multimédia do Azure Microsoft.Media/mediaservices keydelivery, liveevent, streamingendpoint

    Nota

    Só pode criar pontos finais privados numa conta de armazenamento Fins Gerais v2 (GPv2).

    Segurança da rede de pontos finais privados

    Quando utiliza pontos finais privados, o tráfego é protegido a um recurso de ligação privada. A plataforma valida as ligações de rede, permitindo apenas aquelas que atingem o recurso de ligação privada especificado. Para aceder a sub-recursos adicionais dentro do mesmo serviço Azure, são necessários pontos finais privados adicionais com metas correspondentes. No caso do Azure Storage, por exemplo, você precisaria de pontos finais privados separados para aceder ao ficheiro e sub-recursos blob .

    Os pontos finais privados fornecem um endereço IP acessível a privados para o serviço Azure, mas não restringem necessariamente o acesso da rede pública ao mesmo. Serviço de Aplicações do Azure e Funções do Azure tornam-se publicamente inacessíveis quando estão associados a um ponto final privado. No entanto, todos os outros serviços Azure requerem controlos de acesso adicionais. Estes controlos fornecem uma camada de segurança extra de rede aos seus recursos, proporcionando uma proteção que ajuda a impedir o acesso ao serviço Azure associado ao recurso de ligação privada.

    Os pontos finais privados apoiam as políticas de rede. As políticas de rede permitem o suporte a grupos de segurança de rede (NSG), rotas definidas pelo utilizador (UDR) e grupos de segurança de aplicações (ASG). Para obter mais informações sobre como permitir políticas de rede para um ponto final privado, consulte Gerir as políticas de rede para pontos finais privados. Para utilizar um ASG com um ponto final privado, consulte configurar um grupo de segurança de aplicações (ASG) com um ponto final privado.

    Pode ligar-se a um recurso de ligação privada utilizando os seguintes métodos de aprovação de ligação:

    • Aprovar automaticamente: Utilize este método quando possuir ou tiver permissões para o recurso de ligação privada específico. As permissões necessárias baseiam-se no tipo de recurso de ligação privada no seguinte formato:

      Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

    • Pedido manual: Utilize este método quando não tiver as permissões necessárias e pretenda solicitar o acesso. Será iniciado um fluxo de trabalho de aprovação. O ponto final privado e, posteriormente, as ligações de ponto final privado serão criadas num estado pendente . O proprietário de recurso de ligação privada é responsável por aprovar a ligação. Após a sua aprovação, o ponto final privado está habilitado a enviar o tráfego normalmente, como mostra o seguinte diagrama de fluxo de trabalho de aprovação:

    Diagrama do processo de aprovação do fluxo de trabalho.

    Ao longo de uma ligação de ponto final privado, um proprietário de recurso de ligação privada pode:

    • Reveja todos os detalhes da ligação de pontos finais privados.
    • Aprove uma ligação de ponto final privado. O ponto final privado correspondente será habilitado a enviar tráfego para o recurso de ligação privada.
    • Rejeite uma ligação de ponto final privado. O ponto final privado correspondente será atualizado para refletir o estado.
    • Elimine uma ligação de ponto final privado em qualquer estado. O ponto final privado correspondente será atualizado com um estado desligado para refletir a ação. O proprietário do ponto de terminação privada só pode eliminar o recurso neste momento.

    Nota

    Apenas os pontos finais privados num estado aprovado podem enviar tráfego para um recurso de ligação privada especificado.

    Conecte-se usando um pseudónimo

    Um pseudónimo é um nome único que é gerado quando um proprietário de serviço cria um serviço de ligação privada atrás de um equilibrador de carga padrão. Os proprietários de serviços podem partilhar este pseudónimo offline com os consumidores do seu serviço.

    Os consumidores podem solicitar uma ligação a um serviço de ligação privada utilizando o recurso URI ou o pseudónimo. Para ligar utilizando o pseudónimo, crie um ponto final privado utilizando o método de aprovação de ligação manual. Para utilizar o método de aprovação de ligação manual, desaponte o parâmetro de pedido manual para True durante o ponto de terminação privado criar fluxo. Para obter mais informações, consulte New-AzPrivateEndpoint e az network private-endpoint.

    Nota

    Este pedido manual pode ser aprovado automaticamente se a subscrição do consumidor for a indicação do lado do fornecedor. Para saber mais, vá para controlar o acesso ao serviço.

    Configuração do DNS

    As definições de DNS que utiliza para ligar a um recurso de ligação privada são importantes. Os serviços Azure existentes podem já ter uma configuração DNS que pode usar quando estiver a ligar-se a um ponto final público. Para ligar ao mesmo serviço através do ponto final privado, são necessárias definições de DNS separadas, muitas vezes configuradas através de zonas privadas de DNS. Certifique-se de que as definições de DNS estão corretas quando utilizar o nome de domínio totalmente qualificado (FQDN) para a ligação. As definições devem ser resolvidas para o endereço IP privado do ponto final privado.

    A interface de rede associada ao ponto final privado contém as informações necessárias para configurar o seu DNS. A informação inclui o FQDN e o endereço IP privado para um recurso de ligação privada.

    Para obter informações detalhadas sobre recomendações para configurar o DNS para pontos finais privados, consulte a configuração de DNS de ponto final privado.

    Limitações

    As seguintes informações listam as limitações conhecidas à utilização de pontos finais privados:

    Grupo de segurança de rede

    Limitação Descrição
    Rotas eficazes e regras de segurança indisponíveis para interface de rede de pontos finais privados. As rotas e as regras de segurança eficazes não serão apresentadas para o ponto final privado NIC no portal do Azure.
    Registos de fluxo NSG não suportados. Registos de fluxo NSG indisponíveis para o tráfego de entrada destinado a um ponto final privado.
    Não mais de 50 membros de um Grupo de Segurança de Aplicações. Cinquenta é o número de Configurações IP que podem ser ligadas a cada ASG que é acoplado ao NSG na sub-rede de pontos finais privados. Podem ocorrer falhas de ligação com mais de 50 membros.
    As gamas portuárias de destino suportadas até um fator de 250K. As gamas portuárias de destino são suportadas como uma multiplicação SourceAddressPrefixes, DestinationAddressPrefixes e DestinationPortRanges.

    Regra de entrada exemplo:
    1 fonte * 1 destino * 4K portRanges = 4K Valid
    10 fontes * 10 destinos * 10 portRanges = 1K Válido
    50 fontes * 50 destinos * 50 portRanges = 125K Válido
    50 fontes * 50 destinos * 100 portRanges = 250K 100 fontes válidas
    * 100 destinos * 100 portRanges = 1M Inválidos, NSG tem muitas fontes/destinos/portos.
    A filtragem da porta de origem é interpretada como * A filtragem da porta de origem não é utilizada ativamente como cenário válido de filtragem de tráfego para tráfego destinado a um ponto final privado.
    Recurso indisponível em regiões selecionadas. Atualmente indisponível nas seguintes regiões:
    Índia Ocidental Austrália
    Central 2
    África do Sul Sudeste
    do Brasil

    Considerações adicionais da NSG

    • O tráfego de saída negado a partir de um ponto final privado não é um cenário válido, uma vez que o prestador de serviços não pode originar o tráfego.

    • Os seguintes serviços podem exigir que todas as portas de destino estejam abertas ao alavancar um ponto final privado e adicionar filtros de segurança NSG:

    UDR

    Limitação Descrição
    O SNAT é sempre recomendado. Devido à natureza variável do plano de dados de ponto final privado, é recomendado para o tráfego SNAT destinado a um ponto final privado para garantir que o tráfego de retorno é honrado.
    Recurso indisponível em regiões selecionadas. Atualmente indisponível nas seguintes regiões:
    West India
    UK North UK South
    2
    Australia Central 2
    South Africa West
    Brazil Southeast

    Grupo de segurança de aplicações

    Limitação Descrição
    Recurso indisponível em regiões selecionadas. Atualmente indisponível nas seguintes regiões:
    West India
    UK North UK South
    2
    Australia Central 2
    South Africa West
    Brazil Southeast

    Passos seguintes